Wer kennt sich mit Multicast, insbesondere mit Sophos aus?

Ich versuche aus einem Subnetz aus auf eine Fritzbox (Tapi(Capi) zuzugreifen - wenn der Rechner im selben Netz wie die FB ist, dann funktioniert alles - wenn der Rechner aber in einem Subnetz hinter der Sophos ist geht es nicht mehr (Firewall sowohl Windows als auch Sophos haben alles erlaubt).

Laut Recherchen liegt das daran, das Tapi/Capi Multicast nutzen und das eingerichtet werden muss - jedoch ist die Konfiguration ziemlich komplex und ich habe damit meine Probleme.

Kennt sich jemand damit aus, oder hat das sogar laufen?

Danke für eure Mühen.

Moooooin!

Hatte neulich das Thema bei einem Bekannten, der seinen AirPrint Drucker in ein anderes Subnet „veröffentlichen“ wollte. Üble Nummer :rolleyes: :smiley:

Multicast mit mDNS, Bonjour, AirPlay, AirPrint, … kannst du mit der Sophos vergessen.
Du bräuchtest ein extra Device was jeweils ein Bein in beiden Netzen hat und da muss dann ein mDNS or Bonjour reflector drauf laufen. Aber damit umgehst du quasi deine Firewall…
Cisco hat da wohl ein paar mehr Möglichkeiten… Bei Sophos findet man nur einige Feature Requests gg

Wie das jetzt mit deinem TAPI aussieht, da bin ich mir nicht sicher… Hast du mal probiert über „Interfaces & Routing“ und „Multicast Routing PIM-SM“ etwas zu erreichen? Man findet massenweise Fragen dazu im Internet, aber Lösungen findet man nicht…

Für die Sophos XG gibt es KB Beiträge zum Thema Multicast Routing:
How to Configure Multicast Routing in Sophos Firewall - Sophos Community
Multicast Routing (PIM-SM) - Sophos Community

Mehr kann ich dir da leider aktuell nicht weiterhelfen. Ist ein ziemlich doofes Thema…

Viele Grüße,
Chris

Hi Chris,

als erstes mal wieder schön was von dir zu lesen :).

Danke auch für deine Hilfe. Das Thema ist auch in der Tat recht fortgeschritten oder eher selten. Ein Beinchen in jedem Segment habe ich ja - ist ja schließlich die Firewall und hat somit auch ein Beinchen in jedem Netz, hatte das mit einem Aditional Interface versucht - da die Firewall virtualisiert ist könnte ich aber auch problemlos mehrere (zumiindest für die Sophos) „physiche“ Interfaces einrichten.

Die XG habe ich mir lange nicht mehr angeschaut, habe die damals in den Betas angeschaut und das hat mir gar nicht gefallen - vielleicht muss ich mir die ja doch mal wieder anschauen.

Die UTM ist halt mehr für das Enterprise Segment - es kommen aber immer mehr Anforderungen, wo die Probleme bekommt - auch die Sonos haben bei mir Probleme mit dem SSDP. Auch habe ich vermehrt „stocken“ bei den ganzen Streaming Dingen (Stichwort: Web Application Filter, Web Filter - trotz ausnahmen).

Naja, denke mal das ich mir generell mal was wegen meinem Netzwerkdesign überlegen muss oder mal die XG anschauen muss.

Danke dir dennoch.

Ich bin von der utm auf die xg umgestiegen. Schon recht am Anfang. Da hat noch vieles gefehlt. Ist jetzt nicht mehr so.
Es fühlt sich komisch an alles in einer Regel zu haben. Ist aber dann natürlich viel einfacher. Für Netflix brauchte es aber auch eine Ausnahme.
Im Unterschied zur utm ist bei der XG erstmal im Webfilter alles offen und muss geschlossen werden.
Ich bin insgesamt sehr zufrieden. Hab inzwischen untangle, pfsense und opnsense getestet.
Sollte xg kostenpflichtig werden gehe ich zu opnsense.

Zum Thema: habe mich wegen subnet für Sonos mit dem Thema beschäftigt. Wollte die extra haben. Habs aufgegeben…

Gruß Sebastian

Abend!

Die Firewall reicht aber nicht mit jeweils seinem Beinchen in einem Subnet…weil die das eben nicht kann. Zumindest die UTM. Mit der XG soll ein wenig mehr funktionieren - aber vieles auch nicht in dem Bereich :rolleyes:
Für die UTM kannst du dir das zB hier wünschen :smiley: >> Neworking: Support Bonjour/avahi/mdns to forward mdns between Subnets – Sophos Ideas

Hast du nicht auch Ubiquiti im Einsatz? Die EdgeMAX können mDNS Reflector spielen und noch andere Sachen in der Richtung…

Ich selbst bin vor fast 2 Jahren von der UTM zur XG gewechselt, weil die Home Edition der UTM mit 50 IP-Adressen nicht mehr ausgereicht hat :smiley: :smiley:
Bei der XG Home Edition ist man nur auf CPU/RAM beschränkt :cool:

Aktuell ist die XG v17 kurz vorm Release (hab die Beta schon drauf). Da hat sich EINIGES getan, um wieder mehr Funktionen drin zu haben und von den Features näher an die UTM zu kommen. Selbst für mich reicht es mittlerweile aus :smiley:
Du kannst also ruhig mal einen Versuch wagen :slight_smile: Aber erhoffe dir bzgl. Multicast Routing nicht zu viel! Wenn du da was willst, dann selbst eine „Bridge“ bauen (nicht die Firewall) oder auf Cisco wechseln, die sind da wohl etwas besser…

@Sebastian: Bei der XG ist noch einiges mehr „anders“ im Vergleich zur UTM :smiley: Aber man gewöhnt sich relativ schnell dran. Mittlerweile komme ich gut mit klar und bin wirklich zufrieden!
Am „überraschen sten“ fand ich es, dass man zum richtigen Loggen zwangsweise einen Syslog-Server brauchte. Das hat sich mit der v17 aber auch geändert, da wurde das Logging ordentlich umgebaut und erweitert.

Schönen Abend allerseits und Grüße,
Chris

Ich habe das so gelöst, dass ich hinter der Sophos XG einen Unifi USG Pro sitzen habe, die (NAT disabled) das Routing in die Subnets übernimmt. Für updates der Sonos sollte das Handy/Tablet… im selben subnet wie die Sonos Boxen sitzen, sonst klappt das update nicht zuverlässig.
BG
Hoep

Gesendet von iPhone mit Tapatalk

Wollte mal einen Zwischenstand geben - habe Samstag auf die XG umgestellt.

Das meiste läuft schon, leider komme ich aber noch nicht zum umfangreichen testen.

Falls auch jemand umstellen sollte, hilft das hier vielleicht weiter:

http://www.leibling.de/2017/12/10/sophos-umstellung-von-utm-auf-xg/
Sophos XG eigenes öffentliches Zertifikat verwenden – Familie Leiblinghttp://www.leibling.de/2017/12/10/sophos-xg-eigenes-oeffentliches-zertifikat-verwenden/

Aaaabend :slight_smile:

Glückwunsch zur XG :cool:

Du schreibst in deinem Blog:

Auch hier gibt es eine kostenlose Version für den nicht kommerziellen Betrieb, welcher bis 100 Adressen unterstützt – in dieser Version ist fast alles aktiviert, bis auf die Sandstorm funktion (wie auch bei der UTM Home).

…das stimmt so nicht… Wenn du nicht eine andere Quelle hast als alle anderen :wink:

Richtig wäre:

Die Home Edition ist beschränkt auf 4 Cores und 6 GB RAM. Der Computer kann höhere Spezifikationen aufweisen. Die XG Firewall Home Edition ist in diesem Fall jedoch nicht in der Lage, die zusätzlichen Kapazitäten zu nutzen.

Quelle >> https://www.sophos.com/de-de/products/free-tools/sophos-xg-firewall-home-edition.aspx

Grüße,
Chris

Eine Frage zu dem Thema aus reinem Interesse.

Ich habe ein Klasse-C privates Netz wo alle Devices drin sind (kein Subnetting, etc.). Einigen Geräten wie TVs, etc. habe ich im Router (Keine UPNP Portöffnung!) den Internetzugang entzogen. Das Router integrierte WLAN habe ich abgeschaltet. Ich setze einen Access Point für Unifi ein und habe dort ein zusätzliches WLAN (SSID) für Gäste aktiviert. Dort habe ich auch eingestellt, dass via Gäste-WLAN nicht im mein „normales“ Subnetz zugegriffen werden kann. Das habe ich auch getestet. Die Gäste Clients bekommen zwar eine IP aus meinem Klasse-C Netz, aber können nicht auf andere IPs im gleichen Netzsegment zugreifen.

Warum baut ihr ein komplexes Sicherheits-Setup mit VLANs, extra Firewall, etc. auf?

Als IT-Nerd finde ich eine UTM/XG Firewall zwar spannend, sehe bei mir aber noch nicht den wirklichen Anwendungsfall. Ich versuche einen Mittelweg zwischen Sicherheit und Komplexität zu wählen - wobei mehr Sicherheit selten schlecht ist.

Wobei das FW Log wäre bestimmt sehr spannend um zu sehen was da den ganzen Tag so „anklopft“.

Gruß
Thorsten

Eine Sophos bietet viele Möglichkeiten. Und als IT-Admin hat man halt so seine Spielsachen :wink: Habe auch einen ESXi Server laufen mit vielen VMs (wie sicher einige andere auch).
Aber Sicherheit kann man so oder so heut zu Tage nicht groß genug schreiben.

Die Sophos übernimmt bei mir viele Aufgaben, wie z.B. WebFilter, VPN, Firewall, Virenschutz, E-Mail Schutz (Spam, …), DMZ, VLAN, WebServer Protection (Cross Site Scripting, SQL Injection, …), Reverse Proxy, Hotspot-„Zentrale“ fürs Gast-WLAN, DNS, DHCP, …

Nicht jeder braucht das alles. Aber die Sophos kann das alles und ist trotzdem recht einfach zu bedienen. Und bietet mir damit einen deutlichen Komfort, neben der gewünschten Sicherheit.
…und sie ist kostenlos für Home-User…

Grüße,
Chris

Irks, die XG fliegt Freitag wieder raus. Die ist ja echt nicht brauchbar in meinem Umfeld - und bei vielem " erzeit noch nicht möglich".

Was mich am meisten stört ist, das Emailfilter nicht richtig konfigurierbar ist (Empfehlung der Community: Frag nach einer Lizenz für die Mailfilterapliance).

Das Multicast Problem ließ sich auch nicht lösen.

Und im SSL VPN kann man den Port nicht verändern und ich bekomme somit Probleme mit dem SSL VPN (läuft eine kurze Zeit, dann Tunnel da - Traffic nix, noch geiler: Schalte ich Tunnel A aus, wird B deaktiviert).

Freitag stelle ich wieder zurück und nutze mit den bisherigen Einschränkungen - habe ja noch kein Adressenproblem.

Danke dennoch für eure Hilfe :).

Hallo,

das gleiche Problem hatten wir auch schon mit der XG, deswegen verbauen wir nur SG ausgereift und funktioniert sehr gut.

Grüße
Daniel

PS: Wenn du tiefere FRagen hast gerne per PM, habe ca. 20 Sophos SG laufen.

Habe weder Probleme mit SSL VPN noch mit SSL Site2Site VPN. Die tunnel laufen bei mir superstabil, lese aber auch davon, dass dieses Problem mehrere user betrifft. Wegen port bei SSL VPN gab es workarounds, ich bin aber auf ipsec ausgewichen vor allem wegen on demand unter iOs. Wenn die XG mal gut konfiguriert ist (was dauert und viel Lesen erfordert) läuft sie zumindest in meinem Umfeld adäquat stabil zur UTM.
Gruß
hoep

Gesendet von iPad mit Tapatalk